SPAM: Filtere doch, du kriegst mich eh nicht

EnterpriseSicherheit

HTML ist die wahre Wunderwaffe für Spammer, hinter der sich alles verstecken lässt. Anti-Spam-Experten sind den Werbemailern aber dicht auf den Versen.

“WIE SIE SICHRE BEMKRET HBEN MCHAEN DIE BUCHSTBAEN HEIR ÜBERHPTAU KIENEN SNNI. DAS SIT BEAR EIN TRICK WIE SPMMER HUETE IHRE MIALS AN DEN FLTERN VORBIE IN IHREN POSTENGNG SCHLUESEN.”
Willkommen in der Welt der Spammer. Lehnen Sie sich zurück und genießen sie unseren Erfindungsreichtum. Wir werden nicht müde, neue Tricks zu finden, um ihren Filter zu umgehen. Einige Beispiele wollen wir aber offenbaren, damit Sie eine ungefähre Vorstellung von dem bekommen, wie kreativ wir sind – wie ein Zauberer, der in unregelmäßigen Abständen einige kleine Zaubereien offenbart und so zeigen will, dass er wirklich was drauf hat.

Dass die Hersteller von Anti-Spam-Lösungen auch nicht schlafen und Ihnen, den lieben Anwender, zur Seite springen, um uns, die Spammer, zu blockieren, zeigen wir an folgendem Beispiel: Gab man dem Begriff V-i-a-g-r-a diese Passform, kam man noch vor einigen Monaten bis zum Posteingang durch. Die Zeiten sind vorbei, die Filter erkennen die Variante und filtern sie heraus. Unsere Idee, den Begriff mit Leerzeichen zu schreiben, V i a g r a, hat auch keinen Filter überlebt. Schade eigentlich.

Erfinderisch wie wir sind, gibt es noch andere Ideen, die wir verwirklichen und die nicht in allen Blockiersystemen Alarm schlagen. ASCII-Zeichen benutzen wir auch gerne. Der ASCII-Code sieht in etwa so aus: &#86 &#105 &#101. Mit den entsprechenden Zeichen können wir Wörter sozusagen verschlüsseln. Ein Browser stellt sie dann lesbar dar.

MIME ist auch eine Technik, die es uns einfach macht, den Filter an der Nase herumzuführen. Die Abkürzung steht für ‘Multipurpose Internet Mail Extensions’ und ist eine Methode, die Binärinformationen als normalen Text lesbar aufbereitet, so dass er über eine Mail versendet werden kann. Eine MIME-Spam besteht in der Regel aus zwei Teilen. Im ersten Teil steht in Klartext ein unverfängliches Bla-Bla, das nicht direkt auf eine Werbemail schließen lässt, zumindest aus der Sicht des Filters. Im zweiten Teil ist ein Text im HTML-Format versteckt, der meistens einen Link enthält, der auf eine Werbeseite führt. Und schon haben wir sie wieder erwischt.

Die Wunderwaffe HTML

Überhaupt ist HTML (Hypertext Markup Language) ein wahres Wundermittel für uns Spammer. Mit der Programmsprache, die Webseiten generiert, kann man tolle Sachen machen. Die oben angesprochene Leerzeilentechnik beispielsweise (v i a g r a) lässt sich mit einem HTML-Code noch einmal verschlüsseln. Das würde dann so aussehen: vfont size=0  /fontifont size=0  /fontafont size=0  /fontgfont size=0  /fontrfont size=0  /fonta.

Der Code hilft auch bei unserem Farbenspiel. Wir verstecken einen unverfänglichen Text (“Hallo Mama, danke für den netten Abend gestern.”), indem wir für diesen die gleiche Farbe verwenden wie für den Hintergrund des eigentlichen Spam-Textes (wie in dem alten Österreicherwitz, wenn nach der Kriegsflagge der Alpenrepublik gefragt wird: Weißer Adler auf weißem Grund). Der Filter wird so manipuliert, dass er den unverfänglichen Text in der gleichen Farbe wie der Hintergrund darstellt, so dass der Empfänger diesen Text gar nicht lesen kann. In anderer Farbe vor dem Hintergrund (schwarz auf weiß) ist der Spam-Link sichtbar. Manche Filter verwirrt dieses Hin und Her und sie lassen die Mail durch.

Schließlich nutzt HTML uns bei der Tabellentechnik. Um es kurz zu machen, hier ein Bild, das die Situation darstellt.

Der Filter erkennt nur die einzelnen Tabellenteile, also ‘VsF’ oder ‘iar’. Und wieder haben wir Sie veräppelt.

Natürlich können wir auch Kombinationen aus allen HTML-Techniken kreieren. Unerfreulicherweise haben einige unserer Gegner wie der Anti-Spam-Software-Anbieter Sophos dafür bereits schon entsprechende Blockiersysteme entwickelt und verschieben versteckten HTML-Code direkt in den Papierkorb oder fangen ihn am Gateway ab.

Die Verfolger lernen schnell

Dass es immer enger wird, zeigen uns aber auch die Anwender. Sie geben nicht mehr Mir-nichts-dir-nichts ihre Mailadresse preis. Auf ihren Webseiten vermerken sie ihre Adresse im ASCII-Format oder mit Leerzeichen. Das scheinen sie von uns gelernt zu haben. Harvester-Programme, die Seiten absurfen und Mailadressen sammeln, die wir Spammer verwenden können, sind nicht mehr in der Lage, die Adresse als solche zu erkennen.

Und unsere noch so tückischen Mails holen selbst naive Internet-Nutzer nicht mehr hinterm Monitor hervor. Die Idee mit der angedrohten Strafverfolgung durch die Düsseldorfer Staatsanwaltschaft war doch wirklich gut, oder? Leider wissen schon zu viele, dass es rein ermittlungstechnisch auf diesem Wege nie zu einer Verfolgung kommt. Unsere ausgetüftelte Idee war noch nicht intelligent genug, obwohl wir ein paar Adressen haben sammeln können. Danke, an dieser Stelle.

Selbst das klassische Eigentor wird inzwischen selten geschossen: der Abwesenheits-Agent. Das war immer so einfach. Jeder, der eine Abwesenheitsmail absetzte, ging uns ins Netz, weil der Agent ja auf jede Mail antwortet, die ein Filter nicht vorher abgefangen hat. Die Anwender sind auf den Trichter gekommen und leiten ihre Mails intern weiter, wenn sie im Urlaub sind.

Ok, die Luft wird dünner. Das einzige, was uns noch eine Zeit lang hilft, sind die Filter selbst, die darauf achten müssen, nicht zu viele ‘False Positives’, also fälschlicherweise als Spam deklarierte Nachrichten, zu produzieren. Das finden wiederum die Anwender nicht gut. Schon gar nicht die, deren Name einen Hauch von Spam in sich trägt. Heißt jemand ‘Dieter’ und beendet eine Mail, wie das so üblich ist, mit “Viele Grüße, Dieter”, kann es bei manchen Filtersystemen Probleme geben. ‘Dieter’ enthält den Bestandteil ‘Diet’, was aus dem englischen übersetzt ‘Diät’ heißt und ein immer wieder lukratives Spam-Thema ist.

Auch wenn wir noch mehr Tricks auf Lager haben, müssen wir zugeben, dass uns unsere Verfolger auf den Versen sind. Den Atem von Sophos haben wir schon gespürt, uns aber noch einmal losreißen können. Ein anderer Feind heißt Clearswift – und gibt sich für unseren Geschmack allzu zuversichtlich. Deren Geschäftsführer Frank Brandenburg hat sich zum Thema erklärt. Er ist sich sicher, dass das Spam-Problem innerhalb eines Jahres ausgerottet sein werde. Aber so leicht lassen wir uns nicht unterkriegen.